blog

May 24, 2023

Lazarus Group da Coreia do Norte ligado ao roubo da carteira atômica • The Register

A gangue criminosa norte-coreana Lazarus Group foi responsabilizada pelos ataques do fim de semana passado.

A gangue criminosa norte-coreana Lazarus Group foi responsabilizada pelo ataque do fim de semana passado à Atomic Wallet, que drenou pelo menos US$ 35 milhões em criptomoedas de contas privadas.

As semelhanças entre o ataque Atomic Wallet e assaltos digitais anteriores deram à empresa de análise de blockchain Elliptic um “alto nível de confiança” ao nomear o notório grupo, disse a empresa em um relatório.

“Identificamos um grande número de carteiras de vítimas, permitindo que os fundos roubados sejam rastreados em nosso software”, escreveram os detetives da Elliptic. "As bolsas e outros negócios criptográficos que usam as ferramentas da Elliptic podem identificar quaisquer depósitos originados do hack. Nossa equipe de investigações também está seguindo a trilha da transação."

Atomic Wallet é um aplicativo para gerenciar criptomoedas no Windows, macOS e algumas distribuições Linux, bem como dispositivos Android e iOS. No fim de semana passado, um número desconhecido de cinco milhões de usuários da Atomic Wallet, com sede na Estônia, descobriu que algumas ou todas as criptomoedas em suas carteiras foram removidas. Alguns disseram que perderam todas as suas economias.

A Atomic Wallet disse pouco sobre os detalhes do ataque, mas o autodescrito detetive on-chain ZachXBT sugeriu que as perdas podem somar mais de US$ 35 milhões. O fabricante do aplicativo também ofereceu publicamente aos invasores 10% dos fundos em troca de 90% do dinheiro criptográfico devolvido./p>

Os pesquisadores da Elliptic disseram que, ao rastrear algumas das criptomoedas roubadas, eles conseguiram coletar informações sobre como elas foram tratadas e lavadas, com a trilha de auditoria apontando na direção do Lazarus Group.

“A lavagem dos criptoativos roubados segue uma série de etapas que correspondem exatamente àquelas empregadas para lavar os lucros de hacks anteriores perpetrados pelo Lazarus Group”, escreveram os pesquisadores.

Os pesquisadores acrescentaram que "os ativos roubados estão sendo lavados usando serviços específicos, incluindo o misturador Sinbad, que também foi usado para lavar os lucros de hacks anteriores perpetrados pelo Lazarus Group". Além disso, os ativos roubados estavam misturados em carteiras que também guardam criptomoedas roubadas em ataques anteriores do Grupo Lazarus.

Elliptic e outros já haviam vinculado a gangue criminosa ao roubo de US$ 620 milhões em ativos criptográficos de uma plataforma financeira descentralizada (DeFi) usada pelo videogame Axie Infinity e seu desenvolvedor, Sky Mavis. Acredita-se também que Lazarus seja o responsável pelo roubo de US$ 100 milhões na Horizon Bridge, um serviço cross-chain usado para transferir ativos entre a blockchain do desenvolvedor Horizon Harmony e outras blockchains.

Se o ataque à Atomic Wallet foi lançado pelos norte-coreanos – e lembre-se, a Elliptic tem um “alto nível de confiança” – será o primeiro grande roubo de criptomoedas atribuído ao grupo desde o assalto ao Harmony. Isso também significaria que os fundos não estão voltando, já que Pyongyang zomba das tentativas de prender seus agentes.

Elliptic amarrando o misturador Sinbad à Carteira Atômica é um sinal revelador do envolvimento do Lazarus Group. Esses liquidificadores – ou cripto tumblers – são ferramentas-chave usadas para lavar ganhos ilícitos de roubos ou pagamentos de resgate. Os serviços permitem que os usuários depositem ativos digitais que vão para um pool. Os usuários podem então retirar ativos do mesmo valor que depositaram, com o digi-dinheiro enviado para novos endereços difíceis de rastrear ou associar ao depositante.

Os misturadores de criptografia são ferramentas legítimas que podem ser usadas para fins ilegítimos. A Chainalysis, uma empresa de blockchain contratada pela Atomic Wallet para rastrear os fundos roubados e trabalhar com a aplicação da lei e trocas de criptomoedas, descobriu que quase 10% das criptomoedas mantidas por criminosos passaram por um mixer em 2022.

Após as sanções do governo dos EUA contra o Blender e o Tornado Cash – dois dos principais mixers conhecidos por ajudar os invasores a lavar fundos roubados – um novo mixer chamado Sinbad surgiu, com a Elliptic no início deste ano sugerindo que provavelmente era uma reinicialização do Blender.

O Blender, acusado pelos EUA de ajudar o Lazarus Group a lavar centenas de milhões de dólares em ativos digitais roubados, fechou em abril de 2022. O Sinbad entrou em cena cerca de seis meses depois.